WordPress黑客与恶意广告技术之间的真实关系

执行摘要

最初的一项观察研究——干扰VexTrio并观察其适应方式——引发了一系列令人惊讶的发现。当他们的流量分发系统（TDS）被破坏时，多个依赖该系统的恶意软件参与者都迁移到了一个“新”的TDS，但它实际上是同一个TDS！最初被认为是一个独立的TDS，但我们发现的证据表明事实并非如此。多个商业TDS被发现与VexTrio共享软件元素，并受益于VexTrio与网站恶意软件参与者之间长期、排他的关系。最终，很明显，恶意广告技术的使用可能是主导恶意软件活动运营者的垮台，因为VexTrio集团可以识别他们。

背景

2024年11月13日，Qurium研究人员曝光瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分，VexTrio是已知最大且最古老的恶意TDS。Qurium在发现俄罗斯虚假信息参与者Doppelganger在其操作中使用Los Pollos的“智能链接”后建立了这一联系。几天后，我们与Qurium协调，并向多个安全行业合作伙伴发布了一组域名。我们希望这一组合拳能够暂时破坏VexTrio，并通过观察其恢复过程更好地理解他们与网站恶意软件参与者的关系。

我们不必等待太久就得到了回应。2024年11月17日，Los Pollos宣布他们将停止所谓的推送链接货币化；用户被告知这些链接将“很快”停用。但这到底意味着什么？事实证明，在几天内，全球范围内被不同WordPress漏洞利用且表面上由不同恶意软件参与者操控的受感染网站都以完全相同的方式进行了更新。例如，GoDaddy的研究人员详细描述了DollyWay（一种在其八年活动中始终将受害者重定向到VexTrio的恶意软件）如何在2024年11月20日突然停止这样做，并开始将访问者路由到一个看似新的TDS，被称为Help TDS。

但DollyWay并不是唯一一个改为将受害者导向Help TDS的恶意软件。自2015年底以来，许多不同的恶意软件变种感染了WordPress网站并将访问者重定向到VexTrio。在GoDaddy的2024年度报告中，他们发现近40%的重定向访问者的受感染网站通过Los Pollos智能链接将他们发送到VexTrio。这些感染导致了多种类型的网站注入，包括GoDaddy所称的Balada、DollyWay和Sign1，以及未命名的注入活动。到11月底，所有这些先前导向VexTrio的参与者都开始使用Help TDS，或完全停止了他们的操作。

Los Pollos已经关闭了他们的推送货币化，但他们只是组成VexTrio的庞大犯罪企业中的一个实体。VexTrio真的认输了吗？我们需要确定Help TDS是否是独立的。自然，我们转向DNS作为我们研究的主要来源。

DNS TXT记录活动

为了研究恶意软件参与者如何适应中断并改为使用Help TDS，我们考虑了一种特定类型的WordPress感染。这些活动使用DNS TXT记录作为命令和控制（C2）机制，这是一种C2服务器在TXT记录中编码URL，受感染站点重定向到该URL的技术。DNS查询在主机名中包含有关网站访问者的编码信息，这使得C2服务器能够确定如何响应。

通过分析覆盖六个月期间（包括11月17日）的450万条DNS TXT记录响应，我们发现用于DNS TXT记录活动的域名分为两个不同的集合，每个集合都有一个独特的C2服务器。两个服务器都托管在俄罗斯相关的基础设施中，但它们的托管和TXT响应都没有重叠。每个集合维护不同的重定向URL结构，尽管它们最初都导向VexTrio，随后导向Help TDS。这些发现为先前未报告的DNS TXT恶意软件活动提供了新的视角，并提供了进一步的证据，表明在11月17日公告之后，多个看似独立的恶意软件活动中发生了向Help TDS的协调迁移。

然后我们深入研究了Help TDS及其与VexTrio的关系。事实证明，Help TDS并不新，而是与VexTrio交织多年。GoDaddy的研究人员曾强调Help类似于另一个他们称为Disposable TDS的TDS；这也长期与VexTrio交织在一起。我们的结果表明，Disposable和Help TDS是同一个，并且它们与VexTrio有着看似排他的关系，直到11月。

进一步挖掘，我们发现了许多其他与VexTrio共享惊人数量特征的TDS。这些特征包括共同的文件和URL结构，暗示可能存在共享的代码谱系。虽然Help TDS运营者的身份仍然难以捉摸，但我们揭穿了许多常见TDS作为商业广告技术公司的真面目，包括Partners House、BroPush和RichAds。随着Los Pollos推送货币化的结束，我们看到了虚假CAPTCHA的增加，这些CAPTCHA促使用户接受推送通知，尤其是来自Partners House的。这些商业实体之间的关系仍然是个谜；虽然它们肯定是长期合作伙伴，相互重定向流量，并且它们都有俄罗斯联系，但没有明显的共同所有权。

恶意软件参与者选择使用商业广告技术可能是他们的致命弱点。当我们揭示网站黑客与VexTrio集团之间的关系时，我们意识到每个恶意软件操作者对于每个公司都存在唯一标识符。这些公司在允许他们加入之前会审查网络附属机构——我们知道，我们尝试过——并且他们维护有关附属机构及其付款的个人信息，这些信息可能导致他们的身份暴露。他们是否被滥用的服务的真正考验将是他们是否愿意交出困扰互联网并从全球受害者那里窃取无数资金的恶意行为者。

技术细节

DNS TXT记录活动

我们的初步研究始于我们通过DNS跟踪的特定WordPress恶意软件。

DNS TXT记录设计用于支持在线邮件操作，但长期以来一直被用于其他目的，无论是好是坏。多年来，许多参与者已经为恶意软件编码了“下一阶段”响应，将权威DNS名称服务器变成了一个基本的C2服务器。利用DNS TXT记录以这种方式将受害者重定向到VexTrio的WordPress恶意软件活动首次由Sucuri在2023年8月报告。

在这些活动中，威胁参与者使用恶意脚本查找包含Base64编码URL的DNS TXT记录。脚本会根据这些响应重定向访问者。几个月后，Sucuri发现了参与者转向服务器端重定向。我们还在2024年1月与Randy McEoin合作发布了关于这些活动的发现。

GoDaddy的2024年度报告发现，近25,000个网站感染了这种恶意软件，并指出“2024年的演变展示了日益增加的复杂性，特别是在3月份从客户端JavaScript注入转向更隐蔽的服务器端PHP重定向。”他们进一步强调，这些变化是为了操作安全，“也许最值得注意的是，该活动通过自动机器人网络保持持久性，这些网络主动监控并重新激活禁用的恶意插件，使得完全移除特别具有挑战性。”

我们的分析系统通过DNS跟踪受感染网站与C2服务器之间的通信，使我们能够识别新的C2服务器和重定向。我们还使用这些检测来理解C2服务器与重定向之间的历史连接。通过监控DNS查询，我们能够找到没有公开感染证据的网站。此外，我们使自己成为许多网站的受害者，并跟踪了对我们设备的持续影响。

在为期六个月的DNS TXT记录查询和响应的纵向研究中，从2024年8月到12月，我们评估了Los Pollos决定停止其“推送货币化”服务对恶意软件操作的影响。我们最后一次观察到导致VexTrio的TXT记录响应是2024年11月21日，之后他们将受害者重定向到Help TDS。我们专注于部署DNS TXT记录恶意软件的威胁参与者的三个主要问题：

1. C2域与重定向URL之间的关系如何？
2. C2行为在11月下旬如何变化？
3. 这可能如何影响VexTrio？

C2集群

对超过450万条DNS查询的分析显示，存在两个不同的C2服务器集合。虽然所有这些在操作变化之前都导向VexTrio，但两个C2集合使用不同的托管，重定向到不同的域，并利用单独的URL格式。图2显示了C2服务器以及在DNS TXT记录中观察到的重定向域。

从DNS TXT记录的重定向都导向一个TDS。根据我们的研究，我们可以将URL分为五种不同的类型，其中两种首次出现在2024年11月20日或之后（见表1）。

值得注意的是，对于这些TXT记录活动，不仅是域，TDS也分为不同的集合，意味着在每个组中看到不同格式的URL。然而，它们都在11月20日之前导向VexTrio，有时通过第二次重定向。与这种TXT记录恶意软件相关的附属机构已经存在一段时间。集合#1在Los Pollos智能链接中有用户ID pe7k605，首次出现在2019年5月。集合#2使用带有pl参数CHiI7Gh3GUyTa8XGgNqDyQ的推送链接URL格式，首次出现在2023年8月。

C2集合也使用不同的托管。在表2中，我们显示了基于该数据集历史DNS记录的托管信息。过去几年观察到的C2和重定向域的完整集合更大。

C2行为变化

尽管托管和重定向独立，但两组DNS TXT C2服务器以相同的方式改变了它们的行为，尽管时间略有不同。图3显示了访问受感染网站的访问者如何随时间被引导到恶意内容。

图3显示，在Los Pollos宣布推送链接货币化将停止后，两个C2服务器改变了DNS TXT响应，将受害者直接或间接发送到Help TDS。一组（包括data-cheklo[.]world）在11月22日至12月6日之间停止响应。后来在提供商Iron Hosting的新服务器46[.]30[.]45[.]27上看到。第二个C2也改变了托管，但改为Chang Way 185[.]11[.]61[.]37。

有一些例外。我们看到有限的情况，Iron Hosting服务器绕过Help TDS，而是直接将受害者重定向到Vane Viper，后者提供恶意软件。此外，GoDaddy研究人员报告了罕见的情况，DNS TXT恶意软件将受害者发送到不同的受感染站点，随后重定向到技术支持诈骗。

截至12月下旬，包含data-cheklo[.]world的较小C2集合似乎已被关闭。然而，包含webdmonitor[.]io的较大集合继续将受害者发送到Help TDS和恶意内容，直到2025年5月。

DNS记录显示，两个C2服务器可能由独立组操作，尽管它们在恶意软件和服务的内容上是协调的。GoDaddy报告称，DollyWay恶意软件参与者在11月20日转换为Help TDS，同一天第一个TXT C2服务器集合也这样做了。尽管有独立操作的迹象，但也有明显的协调迹象。

Help TDS是什么？

Los Pollos停止了推送货币化，但Los Pollos只是VexTrio的一小部分。我们怀疑Help TDS以某种方式与VexTrio相连，我们是对的。Help TDS不仅与VexTrio内在相连，而且我们还能够将VexTrio与其他在环境中活跃多年的神秘TDS联系起来。GoDaddy研究人员曾推测Disposable TDS已经演变为Help TDS，但它们更像兄弟姐妹；所有这些TDS同时运行并共享特征。我们可以“以多种方式”证明这些联系，但我们将只公开披露一小部分证据。

让我们看看随着时间的推移我们在DNS TXT响应中看到的不同URL形式之间的关系。

TDS随时间的行为

尽管Help TDS似乎凭空出现，但它一点也不新：它至少自2017年以来就一直存在。虽然这个TDS现在通过Monetizer TDS重定向用户，但我们发现许多过去的实例，其中Help TDS重定向到VexTrio。图4显示了基于重定向URL模式的TDS行为，以及显示不同时间TDS之间关系的样本扫描。

GoDaddy曾报告，在DollyWay恶意软件参与者采用VexTrio的Los Pollos链接之前，该恶意软件参与者独家使用Disposable TDS。Disposable TDS的URL格式为： <random_label>.<tld>/index/?<numbers> TLD由Freenom管理，并免费提供，包括tk、gq和cf。

我们几乎立即找到了将Disposable TDS连接到VexTrio的样本重定向链。图5中的扫描包括从Disposable TDS到Los Pollos智能链接的重定向，但也包括使用Disposable TDS域的Help TDS格式的早期版本。从那里，我们分离出其他几个显示相同关系的样本。

历史扫描记录使我们能够在WordPress恶意软件参与者从VexTrio智能链接转向Monetizer的过程中连接他们。在图5的重定向示例中，域co34[.]space用于VexTrio智能链接，用于Los Pollos附属机构，由参数u=b1tk60t标识。但这个URL还包括自定义附属机构建立的参数：t，用于活动名称；和cid，用于回传的点击ID。这些参数值的格式与现代Monetizer URL相同，例如： hXXps://somenth[.]bilitere[.]shop/?utm_medium={traffic_source_id}&utm_campaign=cid:11005&cid=11005-14814-202505160707555c5e 这与WordPress恶意软件活动相关。似乎Los Pollos自定义跟踪器（t=）值cid:11005与包含ecomicrolab[.]com的较大DNS TXT记录集相关联。在Monetizer网络内，同一个威胁参与者有一个附属源ID（utm_medium=）9eb2bcdc89976429bc64127056a4a9d5d3a2b57a。我们观察到的以这种方式格式化的Monetizer URL的第一个示例与2024年11月广告技术提供商的变更同时发生。

一旦你看到几个这样的样本，就会引发一个问题：Help、Disposable和VexTrio TDS之间的关系有多强。当我们在这里说VexTrio TDS时，我们指的是由VexTrio企业运营的几个不同TDS。除了Los Pollos（由Qurium和GoDaddy的出版物以及我们的社交媒体帖子曝光）之外，VexTrio还控制其他广告技术公司以及支持其操作的TDS。这些包括Taco Loco和Adtrafico。

多个TDS之间的DNS连接

事实证明，VexTrio TDS与其他恶意TDS之间存在DNS连接。但确定关系是由于TDS中的存在还是与附属机构的关系可能具有挑战性。像Los Pollos和Monetizer这样的附属广告程序允许使用自定义域，这些域由附属机构而非公司拥有。这可以通过DNS CNAME记录或DNS A记录完成。虽然这使我们能够跟踪附属机构与不同TDS的关系，但不幸的是，它也模糊了域所有者与TDS之间关系的真实性质。

我们看到自定义域以几种不同的方式重叠。在某些情况下，域所有者将主机名分配给附属程序。例如，我们相信由墨西哥营销机构拥有的域oktrkme[.]com的所有者似乎是Los Pollos和Monetizer的附属机构。域名date[.]oktrkme[.]com被看到解析到VexTrio控制的IP地址空间，而域名mnz.oktrkme[.]com在2025年4月下旬解析到Monetizer IP地址。

虽然oktrkme[.]com似乎由附属机构拥有，但其他情况更为复杂。域purinagun[.]ru于2024年4月通过俄罗斯注册商（reg[.]ru）注册，并用于Los Pollos智能链接和Help TDS。在这种情况下，不涉及主机名，但当时可能有DNS CNAME分配，使得仅从DNS无法验证域是否由两个TDS操作者直接控制。purinagun[.]ru和pacocha[.]shop之间的共享IP地址在两个TDS之间创建了另一个类似的连接。第三个域prefez[.]shop引入了第三个TDS，我们称之为News TDS，我们现在知道它由商业广告技术公司Partners House控制（见图6）。

跨不同TDS重用域使分析TDS本身之间的底层关系复杂化，但它确实提供了一种有效的机制来随时间关联附属参与者，例如那些感染网站的参与者。在这种情况下，我们可以将以下内容联系在一起：

• Los Pollos附属机构，ID为u=bt1k60t和u=zt2kd0d
• Partners House附属机构，ID为1003455
• Monetizer附属机构ID 9eb2bcdc89976429bc64127056a4a9d5d3a2b57a

我们可以看到恶意软件参与者随时间一致地采用了一小部分TDS，但是否有更多关于TDS之间关系的信息可以了解？我们回到Help TDS寻找答案。

Help TDS关联

Help TDS在2024年11月下旬Los Pollos停止其推送货币化服务时出现在我们的雷达上，但它们自至少2017年11月以来就一直存在于环境中。我们从样本数据中看到，几个TDS随时间相互交互，正如我们早先在